Поиск уязвимостей в веб-приложениях: основы

Для начинающих исследователей и тех, кто погружается в тему анализа защищенности, провел краткий курс по поиску уязвимостей в веб-приложениях. Описал ключевую терминологию, методы сбора поверхности атаки, векторы атак и все, что необходимо знать для быстрого старта в направлении безопасности приложений.

Материал представил на международной конференции Security Analyst Summit, которая проходила на чердаке. Да, в период пандемии все крупные конференции проходили у меня на чердаке.

Новые уязвимости в Baseboard Management Controller (BMC) позволяют «окирпичить» облака. Собираем поверхность атаки.

На прошлой неделе исследователи сообщили о 5 критических уязвимостях в MegaRAC BMC, которые затрагивают крупных поставщиков оборудования для дата-центров и облаков. Баги позволяют злодею обойти аутентификацию и внедрить вредоносный код.

Мы уже собирали поверхность атаки и обнаружили панели управления платформой OpenStack. Сделаем то же самое и соберем количество устройств с ПО MegaRAC BMC:

* fingerprint: находим уникальную особенность веб-интерфейса. Она должна выделять интерфейс среди других веб-приложений. Например: хэш-сумма HTML-страницы составляет значение “1485002824”.
* dork: на основе фингерпринта составляем запрос к поисковику (“http.html_hash:1485002824”).
* report: анализируем полученный результат.

1283 устройства с BMC по всему миру. Открытые вопросы: сколько среди них уязвимых серверов, и достаточно ли хорошо подобран фингерпринт?

Ключевые этапы сбора поверхности атаки, которые перечислены в презентации, являются также популярными точками входа на этапе внешнего анализа защищенности.

Вот ключевые артефакты, которые приближают атакующего к результату:

1. Поддомены: открывают доступ к забытым веб-сервисам и панелям управления необычными устройствами в периметре организации. Все помнят уязвимый аквариум в казино Лас-Вегаса?

2. Уязвимые веб-приложения и API. Тут все понятно: веб - наш хлеб.

3. Секреты в публичных репозиториях. Кейс из моего опыта: компрометация инфраструктуры с помощью привелегированной учетки, которую разработчик оставил в коде юнит-тестов (!) и загрузил этот код в свой личный репозиторий на гитхаб (!!).

Отсюда два базовых правила контроля поверхности атаки: следи за периметром, следи за кодовой базой. Евгений Валентинович согласен.

Сидим с Марией Гарнаевой и смеемся вместе с теми, кто считает даркнет Tor - анонимным местом.

🤔 Что происходит с рынком труда в отрасли кибербезопасности?
🤔 Где искать таланты?
🤔 Когда можно получить ответы на эти вопросы?

11 августа в 11 утра в прямом эфире АМ-Live.

Ранее мы уже рассказывали о процессе поиска специалистов в кибербезопасности, а теперь основательно разберем кадровый вопрос.

Атаки на разработчика: Dependency Confusion

О техниках атак dependency confusion (или dependency injection) на цепочку поставок в разработке исследователи начали говорить с 2021 года. Но только в этом году исследовательский отдел компании Checkmarx опубликовал отчет с заголовком “Первая известная таргетированная атака на банковский сектор через цепочку поставок ПО с открытым кодом”.

Согласно отчету, атакующие выполнили два ключевых шага, чтобы занести свой имплант в периметр организации:

1. внедрили пакет с вредоносным кодом в репозиторий пакетов npm, которым пользуются разработчики целевой организации;
2. подготовили инфраструктуру и имплант к стадии пост-эксплуатации, чтобы остаться незамеченными продолжительное время.

Первый шаг - это результат успешно реализованной атаки dependency confusion. Атака направлена на подмену библиотек и зависимостей, которые разработчик использует в процессе разработки ПО. Схема не является принципиально новой, и подобные манипуляции с компонентами уже использовались злоумышленниками для атак на организации. Microsoft даже создала отдельную страницу со списком обнаруженных угроз на цепочку поставок и рекомендациями по защите от них.

А вот мои рекомендации:
1. собрать и поддерживать в актуальном состоянии список всех используемых сторонних компонент (как мы ранее решали похожую задачу с инструментами разработчика);
2. внедрить инструмент software composition analysis (SCA) даже если еще не построен процесс безопасной разработки и пока не используется какой-нибудь SAST/DAST;
3. создать внутренний репозиторий для всех зависимостей, поддерживать его в актуальном состоянии и выделить к нему доступ только для разработчика.

Центрам мониторинга (SOC) нужно учиться закрывать набор техник матрицы атак MITRE “Supply Chain Compromise: Compromise Software Dependencies and Development Tools” и осваивать новый скоуп: инфраструктуру разработки и инструменты анализа компонентов программного обеспечения. Теперь мониторить нужно еще и процесс разработки.

На Первом Канале в программе «Доброе Утро» какой-то похожий дядька рассказывает как придумывать и запоминать стойкие пароли. Говорит, что достаточно делать три действия:

1. Запомнить и никогда не забывать кодовое слово, состоящее из символов разного регистра, специальных символов и цифр.
2. Добавить к нему название сервиса, на котором создается учетная запись.
3. Добавить к полученной строке цифру, например, год регистрации и регулярно обновлять пароль.

И если ему хочется, то пусть придумывает и запоминает. А вот мои пароли брутить не надо!

Спасибо товарищу-исследователю Андрею Чечулину за инициативу и помощь в подготовке этого сюжета.

217 секунд до блэкаута

Во фридайвинге есть такой термин: блэкаут. Или по-другому: потеря сознания. Это защитная реакция организма, которая дает фридайверу шанс в случае, если он нарушил правила безопасности и превысил свой физиологический предел. Это последний уровень защиты от гибели. В этот момент важно, чтобы партнер вытащил фридайвера на поверхность и привел в сознание.

Что-то похожее есть в теории надежности: сбой и отказ. Если система падает, но может самостоятельно подняться - это сбой. Если системе нужна посторонняя помощь - отказ. Только в отличие от фридайвера система может пережить даже отказ.

Современный бизнес - это фридайвер, который постоянно испытывает нехватку кислорода и давление. В такой модели ключевой характеристикой бизнеса становится не состояние безопасности, а состояние устойчивости. Распознал симптомы кислородного голодания - поднялся на поверхность. Словил блэкаут - партнер привел в сознание.

Откуда цифра 217?
3 минуты и 37 секунд - мой личный рекорд под водой без кислорода.

Команда Advanced Security Research нашла критическую уязвимость в штатном средстве отладки Windows, которая могла привести к удаленному выполнению произвольного кода (RCE). Год назад уязвимость отправлена в Microsoft Security Response Center, подтверждена и исправлена. Репорт не публиковали.

Публикуем?

👍 - да
👎 - нет

Джентельмен на фото - Александр Калинин, автор найденной проблемы.

👇Первый «кругляш» в этом канале, и он снова про Людей в информационной безопасности.

Последние выходные этого лета и выбор: изучить опубликованные материалы Black Hat 2023 и DEFCON 31 или как следует покататься на велосипеде? 🤔

Моя подборка исследований:

* “AI Assisted Decision Making of Security Review Needs” - про автоматизацию принятия решения о security-свойствах новых продуктовых фичей для ускорения их релиза в продукте
* “Mirage: Cyber Deception Against Autonomous Cyber Attacks” - про развитие систем “Cyber Deception” и анализ их эффективности для выявления атак, которые проводятся с использованием ИИ. В исследовании применяется Caldera - инструмент симуляции атак (Breach and Attack Simulation) с открытым исходным кодом.
* “What Does an LLM-Powered Threat Intelligence Program Look Like?”- про ускорение принятия решений в процессе реализации Threat Intelligence программы с помощью LLM.

Изучай, выделяй интересные идеи, внедряй в свои процессы. Если найдешь еще что-то полезное в этих материалах - делись в комментариях. А я ушел докатывать.

Как провести свое первое security-исследование

0. Изучить материал, который детально описывает лайфхаки для подготовки учебного и исследовательского проекта.
1. Определить цель исследования и ключевые этапы работы.
2. Фиксировать все промежуточные результаты.
3. Оформить все заметки в текст дипломного проекта.
4. Повторить шаги 1-3.

Роль цепочки поставок в снижении стоимости атаки

Мотив атакующего: достижение цели операции при минимальном количестве вложенных ресурсов.

На практике в большинстве атак этот мотив сводится к задаче: достижение цели операции за наименьшее количество шагов. Каждый дополнительный шаг увеличивает вероятность обнаружения и требует дополнительный ресурс для обеспечения безопасности всей операции.

Стадия получения первичного доступа определяет дальнейший сценарий атаки и количество шагов до цели. Оказаться на рабочей станции случайного сотрудника, у которого нет доступа к интеллектуальной собственности, и оказаться в инфраструктуре разработчика - заметная разница для атакующего.

Средства «массового поражения» (spearphishing, credentials stuffing, эксплуатация уязвимостей в периметре и прочее) не гарантируют надежный Initial Access и в последствии требуют дополнительного взаимодействия с инфраструктурой. Другое дело - манипуляция зависимостями в цепочке поставок:

1. вероятность обнаружения атаки ниже, потому что нет прямого контакта с жертвой - она сама обеспечивает доставку импланта в свою инфраструктуру;
2. сохраняется возможность «массового заражения» зависимостей и автоматизации этого процесса;
3. ускорение разработки ведет к росту переиспользования готового кода, а это значит, что поверхность атаки постоянно растет и вместе с ней растет вероятность попадания в целевую инфру.

Совокупность этих факторов делает уязвимости в цепочке поставок относительно дешевым средством получения качественного доступа.

Первая сессия на факультете «Стратегического управления» принесла 3 инсайта

* «Финансовый учет»: задача изучения бухгалтерского отчета становится интересной, если смотреть на нее, как на процесс поиска уязвимостей в жизненном цикле бизнеса. Тогда работа со счетами и показателями превращается в reverse engineering организации для поиска ее недостатков и интересных фичей.

* «Управленческая экономика»: граф принятия решений - это множество доступных вариантов действий для достижения целей. Чтобы найти кратчайший путь в этом графе важно обладать контекстом на каждом этапе. Чем полнее контекст, тем выше вероятность принять правильное решение. И тут третий инсайт.

* “Интуиция - это что-то вроде предварительно обученной модели нейронной сети” - удивился, когда услышал это утверждение от технического эксперта и опытного менеджера, который часто обращался к интуитивному решению задач в ходе интервью. Во как.

Обучай свою нейронную сеть, и да пребудет с тобой Интуиция.
С Днем знаний!

Фото с будущими коллегами

Сегодня побывал в МИФИ на открытии учебного сезона, пожелал первокурсникам кафедры «Криптологии и кибербезопасности» придерживаться трех правил:

* не бояться ошибок и пересдач - стресс в небольших дозах полезен для обучения;
* общаться и знакомиться, делать больше совместных проектов;
* не бояться инноваций - сделать что-то новое можно даже в дипломе бакалавра.

Ребята с огнем в глазах 🤩